CCNA考试主要知识点指导
添加时间: 2008-2-21 16:22:47 作者: Cisco指导 阅读次数:286 来源: http://www.d9soft.com
当你在一台router上安装IPX后,在router上也产生了一个SAP table. 因为router连接的是两个 网络 ,所以router 上的SAP table包括所连接网络的信息。而router也每隔60秒发送SAP table到所有的network. 这样可以连接所有的资源。
没有global的IPX addressing,所以IP address不用象IP address,有不够用的情况。
IPX address = IPX network number + node number
IPX network number是固定的32位的。
node number也是固定的,48位的。一般是用MAC address,这样保证没有相同的号码。
因为IPX中的 IPX network number 和 node number的位数都是固定的,所以在IPX中,你不用做subnetting.
在设置router的时候,对于一些serial port, 因为没有MAC address, 你可以用router上ethernet的MAC address, 虽然serial port和ethernet的MAC address是一样的,但是前面的IPX network number是不一样的。所以整个的IPX address还是不重复的。
如果对一个interface想加multiple IP address
IP address 1.1.1.1 255.255.255.0 sec
如果要去掉 no ip address 1.1.1.1 255.255.255.0
IPX encapsualtion有下面几种。
Ethernet:
Ethernet_802.3 novell-ether (Default)
Ethernet_802.2 sap
Ethernet_II arpa
Ethernet_snap snap
Token Ring:
Token-Ring sap (default)
Token-Ring_snap snap
FDDI:
Fddi_snap snap (default)
Fddi_802.2 sap
Fddi_Raw novell-fddi
Serial (WAN)
HDLC (Default)
如果要enable the IPX routing,用下面的命令:
Router(config)#ipx routing
如果用下面的命令:
Router(config)#ipx routing 0200.aaaa.aaaa
因为WAN interface没有MAC address, 这里就告诉router 用0200.aaaa.aaaa作为WAN interfaces的IPX node address.
如果你要在两个interface上设不同的network IPX number
Router(config)#int e0
Router(config-if)#ipx network 8010
Router(config-if)#int s0
Router(config-if)#ipx network 8020
Router(config-if)#^Z
你也可以在一个interface上加两个network IPX number, 这样在最后加sec就可以了。这和IP address的configuration是一样的,如果你想要给一个interface放两个IP address, 也是在最后加sec. 如果想取消IP address, 打 no ip address....
Router(config)#int e0
Router(config-if)#ipx network 8010
Router(config-if)#ipx network 9010 encapsulation sap sec
Router(config-if)#^Z
///////////////////////////////////////////////////////////////////////////////
(六)
Cisco 的security主要指下面的两个概念:
traffic shapping和traffic filtering,traffic
shapping是比较高深的技术,在CCNA中,只要知道traffic filtering就可以了。
traffic shapping : 改变traffic的走向. QoS
traffic filtering: 控制某个interface 能否通过什么样的traffic
对于traffic filtering, 你要设 access list. 对于access
list的设置,要作两步的工作,先设置access list, 然后再apply到不同的interface.
对于interface 来说,还分为inbound (进入)和outband(出去)的traffic. 对于inbound
traffic 和outbound traffic,可以apply 不同的access list.
对于CCNA考试来说:
INBOUND是指from the network into the router
OUTBOUND是指from the router to the network
如果在一个interface的同一个direction(INBOUND或OUTBOND), 你可以apply
多个access-list. 但是只能对于相同的access-list type,只能有一个.
Router(config)#access-list ?
IP standard access list
IP extended access list
IPX SAP access list
IPX standard access list
IPX extended access list
新apply的access-list永远是放到access-list的最下面,如果你要把access-list插到中间,一般要把所有的access-list
delete 掉以后,再重新写。 Cisco router
处理有关的traffic的时候,如果发现第一个有关的access-list,就apply
到router。如果在access-list里面没有任何有关的定义,就deny. 有人也许会问,怎么可能deny?
我如果没有设access-list的时候,应该是所有traffic都可以走才对。
其实这个deny要这么理解,如果你没有apply access-list,
就不对traffic进行控制。而如果有任何一个access-list
apply到有关的interface, Cisco 从security上面考虑,任何没有定义的traffic都deny.
不知道为什么Cisco要用Wildcat mask来控制access-list. 其实本来用subnet
mask就挺好的。 wildcat mask 就是把所有subnet
mask中的1变成0,把所有的0变成1。在CCNA考试中,可以用下面的方法算 wildcat mask.
255.255.255.255 - subnet mask = wildcat mask
比如说如果你的subnet mask是 255.255.192.0, 所以你的 wildcat mask 是
255.255.255.255
- 255.255.192.0
___________________
0.0.62.255
wildcat mask 的意思就是可以不管最后n位的IP address.
设置 stand IP access list
access-list [number] [permit or deny] [source address]
这里的source address 有三种方式:
1. ip address, 如 1.1.1.1
2. 一个subnet,提供 network ID 和 wildcat mask , 比如 1.1.1.0
0.0.0.255
3. any: 所有的traffic
Example:
Router(config)#access-list 10 permit 1.1.1.1
Router(config)#int s0
Router(config-if)#ip access-group 10 in
Router(config-if)#^Z
这样设以后,只有从1.1.1.1来的traffic才能到router. 其他任何的IP
traffic都不能过了,但如果是IPX的traffic还是可以过的。
取消access-list 10 ,用 no access-list 10
如果你想deny 1.1.1.2的access inbound access.
你要用两个命令:
access-list 11 deny 1.1.1.2
access-list 11 permit any
如果你不用第二行,我们说过, by default, 会deny 任何的traffic,
所以必须加第二行。另外如果是define the access-list, 不用管 inbound 或outbound.
只是在apply access-list的时候,才要用inbound或 outbound.
再来看看一个更有趣的问题,如果你按下面设置的话:
access-list 11 permit any
access-list 11 deny 1.1.1.2
那么你还是没有deny 1.1.1.2的traffic, 因为Cisco
router只看第一行,找到了match, 它就不管下一行了。
如果你现在想让1.1.1.0 subnet里面除
1.1.1.3的机器外都通过的话,要用下面的命令
access-list 12 deny 1.1.1.3
access-list 12 deny 1.1.1.0 0.0.0.255
Show access-list有下面一些:
RouterC#sh access-lists
RouterC#sh ip access-lists
RouterC#sh ip int s0 //看是否被apply到不同的interface
设置 extended IP access list
access-list [number] [permit or deny] [protocol] 出处:bbs.net130.com [destination]
[port]
protocol 有下面一些选择: IP, IPX, UDP, ICMP
Router(config)#access-list 110 permit tcp host 1.1.1.2 1.1.5.0
0.0.0.255 eq www
www就是80。 是指 http的traffic,我们访问webserver的port default是
80,但一般我们都
不打,其实,你完全可以用 http://www.meetchinese.com:80来访问
Meetchinese.com的homepage, 这里的80就是port number.
上面的语句就是 让1.1.1.2的机器可以访问 1.1.5.0 subnet里面的web server.
除eq外,还可以用 gt (greater than) , lt (less than)
.如果你要 管理 所有大于1000的port number, 可以用 gt 1000。
Router(config)#access-list 110 permit icmp host 1.1.1.2 1.1.5.0
0.0.0.255
上面的语句就是让1.1.1.2的机器可以接收1.1.5.0 subnet的ICMP的message,
也就是1.1.1.2可以ping 1.1.5.0的subnet.
RouterC(config)#int s0
RouterC(config-if)#ip access-group 110 in
RouterC(config-if)#^Z
上面的语句就apply access-list到interface s0 inbound的traffic
下面的命令在configure的时候会常用到的:
sh access-list
sh ip access-list
sh log
clear access-list counter
sh ip interface
sh run
Standard IPX Access Lists
access-list [number] [permit or deny] 出处:bbs.net130.com [destination]
Router(config)#access-list 888 permit 8020 –1
Router(config)#access-list 888 deny -1 –1
Router(config)#int s0
Router(config-if) #ipx access-group 888 in
Router(config-if)#^Z
这里用-1代表any
Extended IPX Access Lists
access-list [number] [permit or deny] [protocol] 出处:bbs.net130.com [socket]
[destination] [socket]
IPX里面的socket和IP里面的port number类似。一般都用all
来做configuration.
RouterA(config)#access-list 999 permit any 8020 all 8020 all
8020 是 IPX network number.
any是指所有的protocol.
RouterA(config)#access-list 999 deny any 8040 all any all
RouterA(config)#int s0 RouterA(config-if)#ipx access-group 999 in
RouterC(config-if)#^Z
而在extended IPX access lists是用any, 不是用 -1.
HDLC (High-Level Data Link Control)
serial port的default encryption 就是HDLC。
你可以用下面的命令看你s0的encapsulation HDLC is derived from SDLC and specifies an encapsulation
method of data on synchronous serial data links.
Router#sh int s0
如果要设置HDLC,直接敲下面的命令。
encapsulation HDLC
由于HDLC没有addressing
的功能,所以设置非常的简单。你也只能用HDLC连接两个serial port而已。由于没有addressing, 所以不可能用HDLC 连接3个serial
ports.
Frame Relay
Frame Relay就是把frame 直接relay(传递)过去。不象X.25, 有很多的error
correction等的功能。因为现在的line都比较稳定,所以没有必要做那么多的error
correction。因为简单,所以更efficient.
Frame Relay 是工作在第二层的protocol.
所以你可以在ISDN,T1,ADSL等的network上设置frame relay.
下面是典型的frame relay 连接图。
code:
--------------------------------------------------------------------------------
Local Loop Local LoopRouter1-- Centrol Office----Frame Relay Cloud --- Centrol Office --Router2 T1 T1
--------------------------------------------------------------------------------
如果公司要连接San Francisco和New York的Office,
直接用T1连接费用非常的高。如果用Frame Relay, 你只要在你公司的router和Frame Relay的local centrol
office连接。
而中间走Frame relay的network.
Frame Relay中最关键的概念是CIR(Commited Info Rate):
CIR是你 申请 的保证最低的transmission rate. 这是指保证给你你最低的transmission rate.
而你的network一般都会工作在更高的速度上。
其实现在更好的办法是把你公司的 网络 连到Internet Serivce Provider.
然后中间走Internet. 你再在两边router上设VPN(Virtual Private Network).
随着Internet越来越普及,所以Frame Relay的生意将会越来越萧条。
Frame Relay的设备有两种: DTE和DCE。
DTE(Data terminal equipment)是用户的节点。比如terminals, personal
computers, routers, and bridges.
DTE(Data circuit-terminating equipment)是提供frame relay
传输的公司的设备。一般来说,packet switches 会是DTE. (虽然routers
或其他的设备也可以设成DCE)。
DTE and DCE devices are logical entities. That is, DTE devices initiate
a communications exchange, and DCE devices respond
code:
--------------------------------------------------------------------------------
Digital Phone line frame relay CloudRouter -- DSU/CSU---------------------CO -------//------- CO | Router --DSU/CSU --------------
--------------------------------------------------------------------------------
CO: Central Office,离你最近的提供frame relay的office
DSU/CSU 是作为T1的layer 1 device
Demarcation(demarc): 就是提供Frame
relay的公司的线路和你公司自己的线路的交接点。
从demarc point 到center office 那一段叫做local loop. 从demarc point
到自己的网络里面的所有的device都叫做CPE(Customer Premise Equipment)
DLCI(Data Link Connection Identifier),类似于MAC address, 是frame
relay里面用的address.
Frame Relay Virtual Circuits(VC)
实际上就是两个DTE之间logical connection. 它是connection-oriented.
DLCI number 在 Cisco router里面支持的是从16-1007。
Global DLCI number. global DLCI number就象你自己家的电话号码。
Local DLCI number, 就是你要call的DLCI number,
这也是你在router上设VC时候要confiugre的number.
RouterA ----------- RouterB
20 21
假设你routerA的global DLCI number是20。 routerB的global DLCI
number是21。
如果你在routerA上面要和router B连接,你要建立一个VC.这个时候,你要dial
router B
的DLCI number, 也就是21。所以这21就是routerA的local DLCI number.
DLCI number是work 在layer 2的。而IP address是work
CCNA考试主要知识点指导(4) 第 [1] [2] [3] [4] [5] 下一页
上一篇文章: CCNA考试主要知识点指导 下一篇文章: CCIE课程认证介绍简要